訂閱以接收新文章的通知:

Cloudflare Radar 的流量異常和通知

2023-09-26

閱讀時間:8 分鐘
本貼文還提供以下語言版本:English日本語한국어简体中文

我們在 2022 年生日周期間推出了 Cloudflare Radar 服務中斷中心 (CROC),讓社群瞭解 Cloudflare 流量資料中看到的網際網路中斷(包括服務中斷和關閉)的最新情況。其中一些項目源於當地電信提供者或民間組織在社群媒體上發佈的資訊,其他項目則基於內部流量異常偵測和警示工具。今天,我們將在 Cloudflare Radar 中新增該警示摘要,在偵測到國家和網路級流量異常時在 CROC 上顯示,並透過 API 提供該摘要。

Traffic anomalies and notifications with Cloudflare Radar

基於這一新功能以及我們最近在 Cloudflare Radar 上推出的路由洩漏路由劫持見解,我們還推出了新的 Radar 通知功能,使您能夠訂閱有關流量異常、已確認的網際網路服務中斷、路由洩漏或路由劫持的通知。使用 Cloudflare 儀表板現有的通知功能,使用者可以為一個或多個國家/地區或自發系統設定通知,並在相關事件發生時接收通知。通知可以透過電子郵件或 webhooks 傳送,可用的發送方法因方案層級而有所不同

流量異常

網際網路流量一般遵循相當規律的模式,每天的流量高峰和低谷大致相同。不過,雖然週末的流量模式看起來與平日相似,但其流量數量通常不同。同樣,節假日或國家大事也會導致流量模式和流量數量與「平時」大相徑庭,因為人們會改變他們的活動,花更多的時間在線下,或者人們會轉向網路來源,獲取有關該事件的資訊或報導。這些流量變化可能具有新聞價值,我們在過去的 Cloudflare 部落格文章中對其中一些事件進行了報導(查爾斯三世國王加冕復活節/逾越節/齋月巴西總統選舉)。網路通常被用作控制與外界通訊的手段。

然而,正如您透過閱讀我們的部落格文章和在社群媒體上關注 Cloudflare Radar 所瞭解的那樣,流量的急劇下降才是令人擔憂的原因。有些是由於惡劣天氣或地震等自然災害對基礎設施造成的破壞,這實際上是不可避免的,但從通訊的角度來看,及時瞭解這些事件對網際網路連線的影響是非常有價值的。當專制政府下令關閉行動網際網路連線或在全國範圍內關閉所有網際網路連線時,也會出現流量下降的情況。從人權角度來看,及時瞭解這類異常流量下降情況往往至關重要,因為網際網路關閉往往被用作控制與外界通訊的一種手段。

在過去的幾個月中,Cloudflare Radar 團隊一直在使用內部工具來識別流量異常,並將警示發佈到專用的聊天空間以採取後續行動。與之配套的部落格文章《離線:偵測網際網路服務中斷》一文對我們的流量分析和異常偵測方法進行了更深入的技術細節介紹。

許多這些內部流量異常警示最終都會導致在 Outage Center 建立項目以及在 Cloudflare Radar 發佈社群媒體帖子。今天,我們將擴展 Cloudflare Radar 服務中斷中心,並在發現這些異常時發佈相關資訊。如下圖所示,新的流量異常表包括異常類型(位置或 ASN)、偵測到異常的實體(國家/地區名稱或自發系統)、開始時間、持續時間、驗證狀態和「動作」連結,使用者可在相關實體流量頁面上查看異常或訂閱通知。(如果對偵測到的異常進行人工審核,發現該異常存在於多個 Cloudflare 流量資料集中,以及/或者在 Georgia Tech 的 IODA 平台之類的第三方資料集中清晰可見,我們會將其標記為「已驗證」。未經驗證的異常可能是誤判,也可能與 Netflows 收集問題有關,但我們會儘量減少這兩種情況的發生。)

除此新表格外,我們還更新了 Cloudflare Radar 服務中斷中心地圖,以突出顯示我們偵測到異常的位置,並在地圖下方的新時間軸中將其置於更廣泛的時間背景中。異常情況在地圖上以橙色圓圈表示,可以透過右上角的切換按鈕隱藏。雙邊框圓圈代表多個國家的彙總,放大該區域將最終顯示與彙總中每個國家相關的異常點數量。將滑鼠懸停在時間軸上的特定點上,會顯示與之相關的服務中斷或異常資訊。

自 2022 年 9 月我們推出服務中斷中心和 API 以來,網際網路服務中斷資訊一直透過 Radar API 提供,現在,流量異常也可透過 Radar API 端點提供。流量異常 API 請求和回應範例如下所示。

請求範例:

回應範例:

curl --request GET \ --url https://api.cloudflare.com/client/v4/radar/traffic_anomalies \ --header 'Content-Type: application/json' \ --header 'X-Auth-Email: '

通知概觀

{
  "result": {
    "trafficAnomalies": [
      {
        "asnDetails": {
          "asn": "189",
          "locations": {
            "code": "US",
            "name": "United States"
          },
          "name": "LUMEN-LEGACY-L3-PARTITION"
        },
        "endDate": "2023-08-03T23:15:00Z",
        "locationDetails": {
          "code": "US",
          "name": "United States"
        },
        "startDate": "2023-08-02T23:15:00Z",
        "status": "UNVERIFIED",
        "type": "LOCATION",
        "uuid": "55a57f33-8bc0-4984-b4df-fdaff72df39d",
        "visibleInDataSources": [
          "string"
        ]
      }
    ]
  },
  "success": true
}

有關網際網路「事件」(如流量下降或路由問題)的及時資訊可能會引起多種受眾的興趣。客戶服務或服務台客服可利用這些資訊協助診斷客戶/使用者對應用程式效能或可用性的投訴。同樣,網路系統管理員也可以利用這些資訊更好地瞭解其網路之外的網際網路狀況。民間社會組織可以利用這些資訊為用於在衝突或不穩定地區維持通訊和保護人權的行動計畫提供資訊。今天,我們還推出了新的通知功能,您可以訂閱通知,以便在國家/地區或自發系統層級收到有關觀察到的流量異常、確認的網際網路服務中斷、路由洩漏或路由劫持的通知。在下文中,我們將討論如何訂閱和設定通知,以及各類通知中包含的資訊。

訂閱通知

請注意,您需要登入 Cloudflare 儀表板才能訂閱和設定通知。無需購買 Cloudflare 服務,只需一個經過驗證的電子郵寄地址即可建立帳戶。雖然我們更希望不需要登入,但登入使我們能夠利用 Cloudflare 現有的通知引擎,讓我們不必專門花費時間和資源為 Radar 建立一個單獨的通知引擎。如果您還沒有 Cloudflare 帳戶,請造訪 https://dash.cloudflare.com/sign-up 建立一個。輸入您的使用者和唯一的強式密碼,按一下「註冊」,然後按照驗證電子郵件中的說明啟用您的帳戶。(啟用帳戶後,我們還建議啟用雙重驗證 (2FA) 作為額外的安全措施。)

設定並啟用帳戶後,就可以開始建立和設定通知了。第一步是在 Cloudflare Radar 的流量、路由和服務中斷中心部分查找通知(擴音器)圖示,出現該圖示即表示提供該指標的通知。如果您在國家/地區或 ASN 範圍內的流量或路由頁面上,則通知訂閱將針對該實體。

在 Cloudflare Radar 的流量、路由和服務中斷中心部分查找此圖示,即可開始設定通知。

在服務中斷中心中,按一下網際網路服務中斷表格項目「操作」中的圖示,即可訂閱相關位置和/或 ASN 的通知。按一下表格說明旁邊的圖示,訂閱所有已確認網際網路服務中斷的通知。

在服務中斷中心中,按一下流量異常表格項目「動作」欄中的圖示,訂閱相關實體的通知。按一下表格描述旁邊的圖示,訂閱所有流量異常的通知。

在國家/地區或 ASN 流量頁面上,按一下流量趨勢圖說明旁邊的圖示,訂閱影響所選國家/地區或 ASN 的流量異常或網際網路服務中斷的通知。

在國家/地區或 ASN 路由頁面上,按一下說明旁邊的圖示,訂閱與所選國家/地區或 ASN 相關的路由洩漏或來源劫持的通知。

在路由頁面上的路由洩漏或來源劫持表中,按一下表格項目中的圖示以訂閱所參照國家/地區和/或 ASN 的路由洩漏或來源劫持通知。

點擊通知圖示後,您將進入 Cloudflare 登入頁面。輸入您的使用者名稱和密碼(如果需要,輸入雙重驗證代碼),登入後,您將看到「新增通知」頁面,該頁面已預先填入從 Radar 上的來源頁傳遞過來的關鍵資訊,包括相關地點和/或 ASN。(如果您已經登入 Cloudflare,那麼在點擊 Radar 上的通知圖示後,您將直接進入「新增通知」頁面)。在該頁面,您可以為通知命名,新增可選描述,並根據需要調整位置和 ASN 篩選器。輸入要傳送通知的電子郵件地址,或選擇已建立的 webhook 目標(如果您的帳戶已啟用 webhook)。

按一下「儲存」,通知就會新增到帳戶的「通知概觀」頁面。

您還可以直接在 Cloudflare 中建立和設定通知,而無需從 Radar 頁面上的連結開始。為此,請登入 Cloudflare,然後從左側導覽列中選擇「通知」。這將帶您進入下圖所示的「通知」頁面。按一下「新增」按鈕新增新通知。

在下一頁面上,從提供通知的 Cloudflare 產品清單中搜索並選擇「Radar」。

在隨後的「新增通知」頁面上,您可以從頭開始建立和設定通知。可以在「通知我:」欄位中選擇事件類型,並且可以在相應的「篩選依據(選用)」欄位中搜尋和選擇位置和 ASN。請注意,如果未選擇篩選器,則將為所選類型的所有事件傳送通知。新增一個或多個電子郵件地址以傳送通知,或者選擇一個 Webhook 目標(如果可用),然後按一下「儲存」將其新增到為您的帳戶設定的通知清單中。

值得一提的是,進階使用者還可以透過 Cloudflare API 通知策略端點建立和設定通知,但我們不會在這篇部落格文章中回顧這一過程。

通知訊息

以下是各種類型事件的通知電子郵件範例。每封電子郵件都包含關鍵資訊,如事件類型、受影響的實體和開始時間,根據事件類型,還包括一些其他相關資訊。每封電子郵件都包括純文字和 HTML 版本,以適應多種類型的電子郵件用戶端。(最終產生的電子郵件可能與以下範例略有不同。)

網際網路服務中斷通知電子郵件包括受影響實體的資訊、服務中斷原因描述、開始時間、範圍(如有)和服務中斷類型(全國、網路、區域或平台),以及在 Radar 流量圖中檢視該服務中斷的連結。

流量異常通知電子郵件僅包括受影響實體的資訊和開始時間,以及在 Radar 流量圖中查看該異常的連結。

BGP 劫持通知電子郵件包括有關劫持和受害者 ASN、受影響的 IP 位址首碼、包含洩漏路由的 BGP 訊息(公告)數量、宣佈劫持的對等互連數量、偵測時間、事件為真正劫持的置信度、相關標記以及在 Radar 上檢視該劫持事件詳細資訊的連結等資訊。

BGP 路由洩露通知電子郵件包括以下資訊:瞭解到洩露路由的 AS、洩露路由的 AS、接收和傳播洩露路由的 AS、受影響的首碼數、受影響的原始 AS 數、看到路由洩漏的 BGP 路由收集器對等方的數量、偵測時間,以及在 Radar 上檢視該路由洩漏事件詳細資訊的連結。

如果向 webhook 傳送通知,就可以將這些通知整合到 Slack 等工具中。例如,按照 Slack API 文件中的說明,只需幾分鐘就能建立一個簡單的整合,並產生如下所示的訊息。

結論

Cloudflare 對網際網路的獨特視角使我們能夠近乎即時地洞察流量的意外下降以及潛在的問題路由事件。在過去的一年裡,我們一直在與您分享這些見解,但您必須造訪 Cloudflare Radar 才能瞭解是否有新的「事件」發生。隨著通知功能的推出,我們將自動向您傳送您感興趣的最新事件資訊。

我們建議您造訪 Cloudflare Radar,熟悉我們發佈的有關流量異常已確認的網際網路服務中斷BGP 路由洩漏BGP 來源劫持的資訊。在 Radar 上的相關圖表上尋找通知圖示,並透過工作流程設定和訂閱通知。(如果您還沒有 Cloudflare 帳戶,請不要忘記註冊)。請向我們傳送有關通知的意見反應,幫助我們持續改進這些功能,並讓我們知道您如何以及在何處將 Radar 通知整合到您自己的工具/工作流程/組織中。

請在以下社群媒體上關注 Cloudflare Radar:@CloudflareRadar (Twitter)、cloudflare.social/@radar (Mastodon) 和 radar.cloudflare.com (Bluesky)。

我們保護整個企業網路,協助客戶有效地建置網際網路規模的應用程式,加速任何網站或網際網路應用程式抵禦 DDoS 攻擊,阻止駭客入侵,並且可以協助您實現 Zero Trust

從任何裝置造訪 1.1.1.1,即可開始使用我們的免費應用程式,讓您的網際網路更快速、更安全。

若要進一步瞭解我們協助打造更好的網際網路的使命,請從這裡開始。如果您正在尋找新的職業方向,請查看我們的職缺
Birthday WeekCloudflare RadarOutageBGPInternet TrafficNotifications

在 X 上進行關注

David Belson|@dbelson
Cloudflare|@cloudflare

相關貼文

2024年11月06日 上午8:00

Exploring Internet traffic shifts and cyber attacks during the 2024 US election

Election Day 2024 in the US saw a surge in cyber activity. Cloudflare blocked several DDoS attacks on political and election sites, ensuring no impact. In this post, we analyze these attacks, as well Internet traffic increases across the US and other key trends....